IT Experts de México
Centro de Operaciones Consultoría y Soporte Hardware y Licenciamiento Cloud Operations Ciberseguridad Herramientas Blog Contáctanos
Ciberseguridad

IAM en cristiano: RBAC, mínimo privilegio y el ciclo joiner-mover-leaver

14/07/2026 4 min de lectura Rubén Espinoza

Puedes tener el mejor proveedor de identidad del mundo y aun así vivir un desastre de acceso: gente con permisos que heredó de un puesto que ya no ocupa, cuentas de exempleados todavía activas, y nadie que sepa a ciencia cierta quién puede tocar qué. La tecnología autentica; lo que falta casi siempre es la disciplina de gobernar el acceso a lo largo del tiempo. Eso es IAM —gestión de identidades y accesos— y, en cristiano, se reduce a dos ideas y un ciclo.

Idea uno: mínimo privilegio

El principio de mínimo privilegio dice algo simple y difícil de sostener: cada persona debe tener exactamente los permisos que necesita para su trabajo, ni uno más. Ni uno más, porque cada permiso extra es superficie de ataque: si esa cuenta se compromete, el daño llega hasta donde llegaban sus accesos. Es la misma lógica que aplicamos al acceso a datos, elevada a toda la identidad. Suena obvio; lo difícil es que el mínimo privilegio se erosiona solo con el tiempo, y por eso hace falta lo siguiente.

Idea dos: roles, no permisos sueltos (RBAC)

Asignar permisos persona por persona no escala y se vuelve incomprensible. La alternativa es RBAC (control de acceso basado en roles): defines roles —"Vendedor", "Contador", "Soporte N2"— con un paquete de accesos cada uno, y a las personas les asignas roles, no permisos individuales. La ventaja es doble: cuando alguien cambia de puesto, le cambias el rol y listo; y cuando auditas, revisas un puñado de roles en vez de miles de permisos sueltos. El acceso se vuelve legible, que es la mitad de tenerlo bajo control.

El ciclo que casi nadie cierra: joiner, mover, leaver

Una identidad tiene una vida, y esa vida tiene tres momentos —lo que en inglés se llama joiner-mover-leaver (JML)—:

  • Joiner (entra): se crea la cuenta y se le da el acceso de su rol. El riesgo aquí es el exceso: darle "lo mismo que a su compañero" y arrastrar permisos que no le tocan.
  • Mover (cambia): la persona cambia de puesto. El error clásico es sumar los accesos del nuevo rol sin quitar los del anterior. Así nace el empleado que, tras cinco años y tres áreas, puede tocar medio sistema —la acumulación de privilegios—.
  • Leaver (sale): la persona se va, y su acceso debe morir con la relación. Aquí está la brecha más común y peligrosa: la cuenta del exempleado que sigue activa semanas o meses, una puerta abierta que nadie vigila y que un atacante —o el propio exempleado molesto— puede usar.

El leaver mal ejecutado es una de las causas de incidente más evitables que existen, y casi siempre nace de tratar la baja como un trámite lento entre RRHH y TI en vez de como un cierre de seguridad inmediato.

Diagrama del ciclo joiner-mover-leaver: entra, cambia y sale, con el riesgo de cada etapa y la revisión de accesos como bucle

El ciclo de vida de una identidad: joiner, mover y leaver. Cada etapa tiene su riesgo, y la revisión de accesos periódica mantiene el conjunto honesto.

La herramienta que mantiene todo honesto: la revisión de accesos

Como el mínimo privilegio se erosiona, hay que auditarlo periódicamente. Una revisión de accesos (recertificación) es simplemente sentar a los responsables cada cierto tiempo a confirmar, uno por uno, que la gente que tiene acceso a algo sigue necesitándolo. Es aburrido y es exactamente por eso que casi nadie lo hace —y exactamente por eso los accesos se pudren—. Sin recertificación, cualquier diseño de roles impecable se degrada en un año.

La idea que se queda

IAM no es una herramienta que compras, es una disciplina que sostienes: mínimo privilegio para limitar el daño, roles para hacer el acceso legible, y el ciclo joiner-mover-leaver bien cerrado —sobre todo la baja— para que las puertas se cierren cuando deben. Es el gobierno que le da sentido a toda la identidad como perímetro. Y para las llaves más peligrosas de todas, hay un régimen aparte: PAM.

#iam #rbac #mínimo privilegio #joiner mover leaver #gobierno de accesos #identidad

Preguntas frecuentes

¿Qué es el principio de mínimo privilegio?

Es la regla de que cada persona debe tener exactamente los permisos que necesita para su trabajo, ni uno más. La razón es de seguridad: cada permiso extra es superficie de ataque, porque si esa cuenta se compromete, el daño llega hasta donde llegaban sus accesos. Suena obvio, pero el mínimo privilegio se erosiona solo con el tiempo a medida que la gente cambia de puesto y acumula accesos, y por eso hace falta apoyarlo en roles y en revisiones periódicas.

¿Qué es RBAC (control de acceso basado en roles)?

RBAC es asignar el acceso mediante roles en vez de permisos individuales. Defines roles como Vendedor, Contador o Soporte N2, cada uno con un paquete de accesos, y a las personas les asignas roles, no permisos sueltos. La ventaja es doble: cuando alguien cambia de puesto le cambias el rol y listo, y cuando auditas revisas un puñado de roles en vez de miles de permisos individuales. Hace el acceso legible, que es la mitad de tenerlo bajo control.

¿Qué es el ciclo joiner-mover-leaver y por qué importa?

Es la vida de una identidad en sus tres momentos: cuando la persona entra (joiner) se crea la cuenta con el acceso de su rol; cuando cambia de puesto (mover) hay que darle los accesos nuevos y quitarle los viejos, no solo sumarlos; y cuando sale (leaver) su acceso debe morir con la relación laboral. El punto más crítico es la baja: la cuenta del exempleado que sigue activa semanas o meses es una puerta abierta que nadie vigila, y una de las causas de incidente más evitables. Se controla tratando la baja como un cierre de seguridad inmediato, no como un trámite lento.

Los nombres y logotipos de marcas mencionados en este artículo son propiedad de sus respectivos titulares. Su mención tiene fines informativos y no implica patrocinio ni afiliación más allá de las relaciones de partner que IT Experts de México declara explícitamente.

¿Necesitas ayuda con este tema?

El equipo de IT Experts puede evaluar tu infraestructura sin costo.

Hablar con un especialista

Más de Ciberseguridad

PAM: por qué las cuentas privilegiadas son otro juego
Entra ID (ex Azure AD): por qué no es "el Active Directory en la nube"
Identidad híbrida: Active Directory y Entra ID conviviendo sin romperse